摘要
本发明提出的一种异常主机识别方法、系统、装置及可读存储介质,属于信息安全技术领域。所述方法包括:将网络中的主机与访问关系映射为图结构,积累流量数据后,运用图注意力网络提取节点特征,并通过平均多个时间段的特征向量获得每个节点的表征向量;预处理网络流量数据,用其替换节点的表征向量,形成训练数据,构建LSTM模型进行训练与验证,得到单变量时间序列预测模型;将待检测主机的流量数据输入单变量时间序列预测模型,获取预测结果;基于预测结果评估待检测主机的异常值,以确定待检测主机是否为异常主机。本发明结合了GAT与LSTM模型的优势,实现了对网络域中主机异常行为的准确检测和判定。
